01 - 快速体验 Spring Security 5.7.2 | 权限管理基础

最新推荐文章于 2023-08-07 18:25:22 发布
最新推荐文章于 2023-08-07 18:25:22 发布
阅读量2.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: spring java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyacoder/article/details/126585282
本文介绍了如何在Spring Boot应用中集成Spring Security 5.7.2进行权限管理,包括添加依赖、硬编码配置用户和密码、以及数据库配置用户和密码的步骤。通过配置UserDetailsService接口和PasswordEncoder实现数据库认证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

01 - 快速体验 Spring Security 5.7.2 | 权限管理基础

在前面 SpringBoot 2.7.2 的系列文章中,已经创建了几个 computer 相关的接口,这些接口直接通过 Spring Doc 或 POSTMAN 就可以访问。例如:

GET http://localhost:9099/computer/1

访问该服务可以获取 id 为 1 的电脑详情。

接下来的文章就使用 Spring Security 实现用户认证和授权。

1 添加 Spring Security

1.1 添加依赖

Spring Boot 对 Spring Security 非常友好,它已经管理了 Spring Security 的依赖版本,并且提供 starter 的方式进行整合:

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2 测试服务

添加依赖后重新启动服务,可以在控制台看到输出:

image-20220819161719909

在浏览器中访问该服务,会自动跳转到登录页面,该页面是 Spring Security 默认提供的。浏览器中地址栏自动跳转到:

http://localhost:9099/login

在登录页面,用户名填写 user,密码填写上面控制台中输出的密码,点击“Sign in”,便会进入系统,显示电脑详情。

2 硬编码配置用户名和密码

咱们使用的 Spring Boot 版本是 2.7.2,对应的 Spring Security 版本为 5.7.2,从 5.7 开始,Spring Security 的使用有一些改变,其中之一就是配置 Security 时不推荐继承 WebSecurityConfigurerAdapter 类。

上面的 demo 中使用的用户名是 user,密码是在启动中生成的,这肯定不符合开发的需求。配置用户名密码有三种方式:

  1. 在配置文件 application.yml 中写死用户名和密码;
  2. 定义配置类,在该方法中写死用户名密码;
  3. 实现 UserDetailsService 接口,然后定义配置类进行配置。

前面两者在 demo 中玩玩就行。

2.1 在配置文件中配置用户名密码

这种方式比较简单,直接在 application.yml 中配置即可:

spring:
  profiles:
    active: @env@

  security:
    user:
      name: hero1
      password: '111111'
      roles: 'admin'

2.2 在内存中配置用户名密码

删除上面的 security 节点相关的配置,使用配置文件,配置在内存中生效的用户名密码。

创建配置类 SecurityConfig:

package com.yygnb.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
public class SecurityConfig {
   
   

    @Bean
    public PasswordEncoder passwordEncoder() {
   
   
        return new BCryptPasswordEncoder();
    }

    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
   
   
        UserDetails user = User.builder()
                .username("hero2")
                .password(passwordEncoder().encode("111111"))
                .roles("admin")
                .
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity系列——简单配置上手day4-3(源于官网5.7.2版本)
qq_51553982的博客
07-23 1131
本片开启SpringSecurity入门上手实例,基于官方5.7.2的最新稳定版,springboot2.7.2版,jdk17,我对官方实例进行了一定程度上的修改,增加了其他一些实例代码。
SpringSecurity系列——其他的权限控制,基于access表达式的权限控制day6-2(源于官网5.7.2版本)
qq_51553982的博客
07-27 510
当然我们也可以自定义access表达式来完成自定义的权限控制}}
UserDetailsService详解
wh柒八九的博客
07-01 5120
本文来说下UserDetailsService相关的知识与内容 文章目录概述 概述
SpringSecurity5.7+最新案例 -- 授权 --
最新发布
mose-x
08-07 3万+
书接上回 SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······ 本文 继续处理SpringSecurity授权 ...... 目前由 难 -> 简,即自定义数据库授权,注解授权,config配置授权
初步理解Spring Security并实践
weixin_44742132的博客
06-06 180
Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security体验Spring Security如何使用,先在你的项目pom.x...
基于SpringBoot2.7+SpringSecurity5.7的登录鉴权方案
Loli_Wolf的博客
11-04 7700
基于SpringBoot 2.7以上,SpringSecurity5.7以上的一套完整的安全验证方案
Spring Security即将弃用WebSecurityConfigurerAdapter配置类
qq_39652397的博客
02-22 9479
用过WebSecurityConfigurerAdapter的都知道对Spring Security十分重要,总管Spring Security的配置体系。但是马上这个类要废了,你没有看错,这个类将在5.7版本被@Deprecated所标记了,未来这个类将被移除。 对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。 早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技
SpringSecurity系列——访问权限判断(权限,角色,IP),权限不足(403)处理day6-1(源于官网5.7.2版本)
qq_51553982的博客
07-26 1192
为了你对本文的内容不产生疑惑请先看下方说明当我们无权限时,SpringSecurity会给我们返回403的空白页面,实际上对用户是不友好的,用户不关心处理结果,只关心自己能否访问,所以自定义权限不足的时候的处理显得十分重要,在前后端分离的今天,其实我们只需要返回给前端json数据即可data.put("msg","用户权限不足!");}}...
SpringSecurity系列——安全Http响应头day8-2(源于官网5.7.2版本)
qq_51553982的博客
08-12 1680
}如果您不想添加默认值并希望明确控制应该使用的内容,则可以禁用默认值以下配置指定 Spring Security 不应再指示浏览器阻止内容} }当然我们也可以自定义一些Header,前后端分离里你需要与前后端约定好,这样以下配置将标头添加到响应中} }...
Spring Security怎么给你授权
bangiao的博客
02-03 402
对了最后再强调一遍, 角色继承和动态权限有冲突, 如果我们的权限 角色 用户 都从数据库读取的话, 那么角色继承将会失效, 这点需要注意, 都能从数据库中修改了, 何必还搞什么角色继承紧接着就是 授权的方式, 一个是 基于过滤器, 另一个是基于 AOP 实现, 说白了, 一个是 URL 粗颗粒度, 另一个是方法, 细颗粒度。
Spring Security 5.7.5 CURRENT GA-JWT无状态登录
csdn4m
11-25 570
【代码】Spring Security 5.7.5 CURRENT GA-JWT无状态登录。
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1488
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
Spring Boot 优雅集成 Spring Security 5.7安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 5404
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSpring Security 5.7与6.0差异性对比
qq_38658567的博客
08-03 3462
Spring Security 默认处理登录数据的过滤器是,在这个过滤器中,系统会通过 request.getParameter(this.passwordParameter) 的方式将用户名和密码读取出来,很明显这就要求前端传递参数的形式是 key-value。首先我们获取请求头,根据请求头的类型来判断请求参数的格式。如果是 JSON 格式的参数,就在 if 中进行处理,否则说明是 key-value 形式的参数,那么我们就调用父类的方法进行处理即可。
别再用过时的方式了,全新版本Spring Security,这样用才够优雅~
macrozheng的专栏
06-07 3594
前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了。不禁感慨技术更新真快,用着用着就被弃用了!今天带大家体验Spring Security的最新用法,看看是不是够优雅!...
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 2884
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
权限管理系统(Security
Qbit编程学习笔记
03-20 2484
本系统设计的一个重要目标就是将权限的管理从业务系统中完全抽离出来。对于后端服务而言,他接受到的请求就一定是合法的,不单操作是合法的,包括操作中间的参数,也应该是符合权限管控的要求。权限相关的配置,例如角色配置,用户与角色的绑定都由权限管理系统完成。业务服务与权限系统尽可能少的交互仅限于用户添加租户添加的少数情况。
SpringSecurity学习笔记1_基于内存管理用户
m0_61572518的博客
03-27 839
一、简单配置 1.配置文件中自定义用户密码 application.yml #配置文件中自定义用户名密码 spring: security: user: name: llb password: 123456 2.关闭验证功能 //排除security的配置,让它不起作用 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 二、基于内存管理用户 1.在配置类中配置用户密码信
SpringSecurityUserDetailsService详解
风归去.
06-25 5828
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员优雅哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值